Bilgi Toplumu Stratejisinin Yenilenmesi Projesi "Mevcut Durum Raporları" Üzerine Görüşlerimiz "Bilgi Güvenliği, Kişisel Verilerin Korunması ve Güvenli Internet" Alternatif Bilişim Derneği 27/02/2013 Alternatif Bilişim Derneği olarak ülkemizin BĐT stratejisinin oluşturulma sürecinin çok önemli olduğunu düşünüyoruz. Bu sürece şimdiye kadar olduğu gibi bundan sonra da elimizde gelen her türlü katkıyı sağlamaya hazırız. Mevcut Durum Raporları stratejinin sekiz eksenini yansıtacak şekilde sekiz ayrı kısım halinde oluşturulmuştur. Bu süreçte sekiz eksenin tamamı yerine sadece dört ekseni incelemeyi planlıyoruz. Derneğimizin faaliyet alanıyla birebir örtüşen bu alanlar şöyledir: Bilgi Güvenliği, Kişisel Verilerin Korunması ve Güvenli Internet Kamu Hizmetlerinde Kullanıcı Odaklılık ve Etkinlik Nitelikli Đnsan Kaynağı ve Đstihdam Toplumsal Dönüşüm Đncelenen dört eksenle ilgili Mevcut Durum Raporlarının genel olarak iyi niyetle ve toplumdaki tüm görüşler alınarak yazıldığına inanıyoruz. Bu belgede asıl olarak Mevcut Durum Raporlarındaki olumlu yönler değil, bize göre eksik veya sorunlu olan yönler incelenmektedir. "Mevcut Durum Raporlarından" "Bilgi Güvenliği, Kişisel Verilerin Korunması ve Güvenli Internet" üzerine düşüncelerimiz aşağıdadır. 1
a) Hacktivism Raporda hacktivizm oldukça kötü anlamlar yüklenerek kullanılmaktadır (s.11, 12, 33). Öyle ki, okuyucu bilgi güvenliğinin sağlanmasının tek yolunun hacker ları engellemek olduğu düşüncesine kapılmaktadır. Örnek olarak verilen RedHack ve Anonymous isimli grupların eylemlerinin kanuna göre suç teşkil ettiği (bu suçun savcılar tarafından dünyada görülmemiş şekilde terör suçu olarak abartılmasını bir tarafa bırakırsak) doğrudur. Ancak hacktivizm belli ölçüde muğlaklığı içeren bir terim olup sadece bilgisayarlara izinsiz olarak girilip bilgi ve belge alınmasını veya basında yazıldığı gibi banka hesaplarından para çalınmasını içermez. Tam tersine, varolan sistemlere herhangi bir zarar vermek yerine bu sistemleri alışılmışın aksine herhangi bir menfaat beklemeden dönüştürmek; veya yine herhangi bir menfaat beklemeden bilgisayar eğitimi vermek gibi olumlu hareketleri de içerir. Türkiye'de bilişimin toplum yararına kullanımının artması için bu konuda yetkin hacker ların sayılarının çoğalmasının yararına inanıyoruz. Hacktivism hakkında daha ayrıntılı bilgi için şu adrese başvurulabilir: http://en.wikipedia.org/wiki/hacktivism. Đstanbul'da bulunan bir hacker topluluğunun yasal faaliyetleri konusunda şu adresden bilgi alınabilir: https://istanbulhs.org/ b) Küresel kişisel konum bilgisi: Sayfa 36'daki şekil içinde küresel kişisel konum bilgisinin hizmet sağlayıcılar için 100 milyar $, son kullanıcılar için 700 milyar $ değer sağlayacağı belirtilmektedir. Bu hesaplamalardaki yöntem açık değildir, ancak rakamların güvenilirliği konusunda şüphelerimizi herkesin paylaşacağından eminiz. Küresel kişisel konum bilgisi konusundaki asıl sorun bu işin kişisel mahremiyete açık bir saldırı niteliğinde olmasından kaynaklanmaktadır. Đnsanların büyük bir kısmı GSM vasıtasıyla 2
her an takip altında olmaktan hoşlanmayacaklardır. Bu takibin sonucu olarak ticari kuruluşlardan gelecek mesaj bombardımanı ise daha da rahatsız edicidir. Bu örneğin ülkemizin BĐT stratejisini oluşturacak belgelerde yer almasını uygun görmüyoruz. c) Çevrimiçi Davranışsal Reklamcılık (ÇDR): ÇDR birçok ülke ile birlikte Türkiye'de de yaygın olarak uygulanmaktadır. Ne yazık ki, özellikle Türkiye'deki uygulama kişisel mahremiyeti tümüyle ayaklar altına alıcı niteliktedir. AB'deki uygulamada da yoğun bir rahatsızlık olmasına ve bir takım düzenleme çabalarına karşın yoğun mahremiyet ihlalleri mevcuttur. Şirketlerin gücü halihazırda ÇDR'yi dizginleme çabalarını boşa çıkarmaktadır. ÇDR kapsamında Internet kullanıcıları profillenmekte ve yarattıkları bir değer kendilerine haber verilmeden ve izinleri alınmadan pazarda alınıp satılan bir meta haline getirilmektedir. Bu metanın kullanımı için de Internet kullanıcılarına herhangi bir bedel ödenmesi de söz konusu değildir. AB kapsamında faaliyet gösteren Article 29 Data Protection Working Party e ait 22/6/2010 tarihli ve Opinion 2/2010 on Online Behavioural Advertising başlıklı dokümana göre Internet kullanıcılarının ÇDR şirketleri tarafından izlenmeleri durumunda bu durumu açıklıkla kullanıcıya izah etme ve iznini alma zorunluluğuna uyulmamaktadır. Aynı dokümana göre ÇDR şirketleri kullanıcılara açık anlatım ve açık onay alma ile birlikte izleme faaliyetini ancak belli bir zaman süreci boyunca yapmalı, kullanıcının verdiği onayı kolaylıkla kaldırabilmesini sağlayacak düzenlemeler yapmalı, izlemenin gerçekleştiği süre boyunca görünebilir işaretlemelerle bu durumu sürekli olarak kullanıcıya anlatmalıdırlar. 3
Türkiye'de ÇDR'ye ancak bu şartları yerine getirmek koşuluyla izin verilmelidir. Bu konudaki başıboşluğu ve yoğun hak ihlallerini önlemenin tek yolu budur. ÇDR konusundaki ayrıntılı görüşlerimiz için aşağıdaki belge incelenebilir: http://www.alternatifbilisim.org/wiki/dosya:oba-gorusler-v4.pdf Mevcut Durum Raporunda ÇDR sistemini destekleyen ve karşı çıkan görüşlerle birlikte şu ifadeler kullanılmaktadır: i. (AB'nin yeni düzenlemesi kapsamında ortaya çıkan risklerden biri olarak) hedefe odaklı reklamların zorlaştırılması sonucu reklam gelirlerinin düşmesi (s.47-48) gösterilmektedir. Bu kısım kişisel verilerin koruması ile ilgili olmasına rağmen genel bakış açısı bununla genellikle çelişen bir olguyu, şirketlerin kar kaygısını yansıtmaktadır. ÇDR'den kaynaklanan reklam gelirlerinin düşmesi milyonlarca kullanıcı için değil bu işle uğraşan çok küçük bir azınlık için bir sorun ve risktir. Kaldı ki, ÇDR Internet reklamcılığında tek yöntem değildir. Bu yöntemden başka kişisel mahremiyete herhangi bir zararı olmayan birçok Internet reklamcılığı türü mevcuttur. ii. Kullanıcılar bu cookie dosyalarını silebilmekte ve pek çok internet tarayıcı program da kendiliginden bu islemi yapabilmektedir (s. 51). Bu ifade tam doğru değildir. Zira, çoğu ÇDR uygulaması kullanıcıların takip edilmemek için çerezlerini silmesi ihtimaline karşı LSO (Local Shared Objects) gibi tarayıcı tarafından silinemeyen ve kullanıcıların genellikle bilmediği çerezler kullanmaktadır. 4
d) DPI ve Phorm şirketi: Raporda ÇDR uygulamasını DPI (Derin Paket Đnceleme) vasıtasıyla ve Türkiye'deki Internet omurgasını kontrol eden TTNET işbirliğiyle yapan Phorm şirketinin hakkındaki suçlamalar tarafsız bir bakış açısıyla verilmiştir (s.69). DPI uygulamalarının çoğu Internet üzerinde gözetim ve sansür amacına yöneliktir. Phorm ise gittiği her ülkeden büyük tepkilerle uzaklaştırılan karanlık bir organizasyondur. Mevcut Durum Raporunun DPI ve Phorm konusunda tarafsızlık yerine kişisel özgürlüklerden ve mahremiyetten yana tavır alması beklenirdi. Bu konudaki görüşlerimiz ve ayrıntılı bilgi için bkz: enphormasyon.org. e) Filtre ve devlet sansürü: Internet filtremesi konusunda Raporda şu ifadeler kullanılmaktadır: ĐSS lerin zorunlu filtrelemesi uygulaması ise bazı zararlı sitelere erişimin büyük oranda her kullanıcı için uygulanmasına neden olmakta, aynı zamanda da hem devlet hem de ĐSS ler üzerinde bir ekonomik yük yaratmaktadır. Özellikle toplumun büyük bölümünün değer yargılarının örtüştüğü ancak öz denetleme için yeterli teknik kabiliyetin bulunmadığı durumlarda Internetteki olumsuzlukların etkisini sınırlamak için verimli bir yöntem olarak algılanabilmektedir. Ancak bazı kesimlerin zararlı bulduğu içeriklerin diğer kesimlerin erişimine de engellenmesi, Internetin açık ve özgür doğası ile çelişebilmekte, Internet kullanımını sınırlandırabilmektedir. Daha çok Çin gibi özgürlükleri sıklıkla sınırlandırdığı düşünülen ülkelerde benimsenen bu yöntem sonucunda, bazı içeriklere erişim Internetin teknik altyapısı üzerinden engellenmekte ve bazı değer yargılarının sonucunda ortaya çıkarılan zararlı siteler kapsamının bütün Internet kullanıcılarından uzak tutulmaktadır. Bu durum Internetin açık ve özgür doğası ile temel anlamda çelişebilmekte ve bu özelliklerin sunduğu sosyal ve ekonomik potansiyelin hayata geçmesi zorlaşmaktadır (s.80). Bu ifadelerin tamamına katılıyoruz. Ancak halen Türkiye'de olan tam da 5
budur. Đmkanlar nisbetinde bu durumun kayda geçirilmesi beklenirdi. Filtrenin uygulanması konusunda sözü edilen yeteri kadar şeffaf olmaması (s.94) olgusunun açılarak bu işlemi uygulayan ĐSS'ların bile listeyi bilmemesi (kendilerine liste hash olarak gitmektedir) vurgulanması gerekirdi. f) Açık kaynak kod ve güvenlik: Ülkemizde kişisel bilgisayarların büyük çoğunluğunda Microsoft firmasına ait Windows işletim sistemi kullanılmaktadır. Yurtdışına muazzam ölçüde kaynak transferi bir yana, bu ticari işletim sistemi bilgi güvenliği açısından büyük sorunlar içermektedir. Halen Internet üzerinde bulunan virüs ve solucan gibi zararlı yazılımların tamamına yakını Windows üzerinde çalışmaktadır. Ayrıca bu işletim sistemi vasıtasıyla yabancı ülke gizli servislerinin kamu ve özel bilgisayarlara kolaylıkla erişim sağladığına dair yaygın bir inanç vardır. Linux bir açık kaynak kodlu işletim sistemi olarak güvenlik açısından Windows'dan hem çok daha ileri, hem de ücretsizdir. Bilgi Güvenliği, Kişisel Verilerin Korunması ve Güvenli Internet başlıklı bir strateji dokumanında bu durumun özellikle vurgulanması beklenirdi. Kalkınma Bakanlığı çalışanlarından Raşit Özdaş'ın Kamuda Açık Kaynak Kodlu Yazılım Kullanımı adlı raporu bu konuda mevcut durumda yapılanları ve yapılması gerekenleri etraflıca anlatmaktadır. Bkz. http://www.bilgitoplumu.gov.tr/documents/1/diger/kamuda_acik_kaynak_ Kullanimi_Calisma_Raporu.pdf 6